Elaboração, Manutenção e Publicação das Listas Aprovadas de Prestadores de Serviços de Certificação Controlados/Acreditados pelos Estados-Membros

Mar 24, 2021 | Legislação - Legislação, Serviços de Confiança

Decisão da Comissão 2010/425/UE, de 28 de julho – Elaboração, Manutenção e Publicação das Listas Aprovadas de Prestadores de Serviços de Certificação Controlados/Acreditados pelos Estados-Membros.

Que altera a Decisão 2009/767/CE no que respeita à elaboração, manutenção e publicação das listas aprovadas de prestadores de serviços de certificação controlados/acreditados pelos Estados-Membros.

https://eur-lex.europa.eu/legal-content/PT/TXT/PDF/?uri=CELEX:32010D0425&qid=1616406686591&from=EN

A COMISSÃO EUROPEIA,

Tendo em conta o Tratado sobre o Funcionamento da União Europeia,

Tendo em conta a Directiva 2006/123/CE do Parlamento Europeu e do Conselho, de 12 de Dezembro de 2006, relativa aos serviços no mercado interno (1), e, nomeadamente, o seu artigo 8.o, n.o 3,

Considerando o seguinte:

(1)

A utilização transfronteiras de assinaturas electrónicas avançadas suportadas por um certificado qualificado e criadas com ou sem um dispositivo seguro de criação de assinaturas foi facilitada pela Decisão 2009/767/CE da Comissão, de 16 de Outubro de 2009, que determina medidas destinadas a facilitar a utilização de procedimentos informatizados através de balcões únicos, nos termos da Directiva 2006/123/CE do Parlamento Europeu e do Conselho relativa aos serviços no mercado interno (2), que obriga os Estados-Membros a disponibilizar a informação necessária para a validação dessas assinaturas electrónicas. Os Estados-Membros devem, em especial, disponibilizar, nas suas chamadas «listas aprovadas», informações sobre os prestadores de serviços de certificação que emitem certificados qualificados destinados ao público, em conformidade com a Directiva 1999/93/CE do Parlamento Europeu e do Conselho, de 13 de Dezembro de 1999, relativa a um quadro legal comunitário para as assinaturas electrónicas (3), e que são controlados/acreditados por esse Estado-Membro, bem como sobre os serviços que oferecem.

(2)

Foram organizados alguns ensaios práticos com o Instituto Europeu de Normas de Telecomunicações (ETSI), de modo a permitir que os Estados-Membros verifiquem a conformidade das suas listas aprovadas com as especificações estabelecidas no anexo da Decisão 2009/767/CE. Estes ensaios demonstraram que são necessárias algumas alterações de carácter técnico nas especificações técnicas que constam do anexo da Decisão 2009/767/CE do Conselho, a fim de garantir o funcionamento e a interoperabilidade das listas aprovadas.

(3)

Os ensaios confirmaram ainda a necessidade de os Estados-Membros disponibilizarem ao público as suas listas aprovadas não só em formato legível pelos utilizadores, como exige a Decisão 2009/767/CE, mas também em formatos que permitam o tratamento por computador. A utilização manual das listas aprovadas no formato legível pelos utilizadores poderá ser relativamente complexa e morosa quando os Estados-Membros têm um grande número de prestadores de serviços de certificação. A publicação das listas aprovadas em formatos que permitam o tratamento por computador facilitará a sua utilização, permitindo o seu tratamento automático e, portanto, a sua utilização nos serviços públicos electrónicos.

(4)

A fim de facilitar o acesso às listas aprovadas nacionais, os Estados-Membros devem comunicar à Comissão as informações relativas à sua localização e protecção. Essas informações deverão ser disponibilizadas pela Comissão aos restantes Estados-Membros de forma segura.

(5)

Os resultados dos ensaios práticos com as listas aprovadas dos Estados-Membros devem ser tomados em consideração, a fim de permitir a utilização automatizada das listas e facilitar o acesso às mesmas.

(6)

A Decisão 2009/767/CE deve, por conseguinte, ser alterada em conformidade.

(7)

Para que os Estados-Membros possam proceder às necessárias alterações técnicas das suas actuais listas aprovadas, importa que a presente decisão seja aplicável a partir de 1 de Dezembro de 2010.

(8)

As medidas previstas na presente decisão são conformes com o parecer do Comité da Directiva Serviços,

ADOPTOU A PRESENTE DECISÃO:

Artigo 1.o

Alterações à Decisão 2009/767/CE

A Decisão 2009/767/CE é alterada do seguinte modo:

O artigo 2.o é alterado do seguinte modo:

O n.o 2 passa a ter a seguinte redacção:

«2. Os Estados-Membros devem elaborar e publicar as suas listas aprovadas em formato legível pelos utilizadores e em formato que permita o tratamento por computador, de acordo com as especificações constantes do anexo.».

É inserido o n.o 2-A seguinte:

«2-A. Os Estados-Membros assinam electronicamente as suas listas aprovadas em formato que permita o tratamento por computador e publicam-nas em formato legível pelos utilizadores através de, pelo menos, um canal seguro, de modo a garantir a sua autenticidade e integridade.».

O n.o 3 passa a ter a seguinte redacção:

«3. Os Estados-Membros comunicam à Comissão as seguintes informações:

o organismo ou organismos responsáveis pela elaboração, manutenção e publicação das listas aprovadas em formato legível pelos utilizadores e em formato que permita o tratamento por computador;

os locais em que se encontram publicadas as listas aprovadas em formato legível pelos utilizadores e em formato que permita o tratamento por computador;

o certificado de chave pública utilizado para garantir o canal seguro através do qual as listas aprovadas são publicadas em formato legível pelos utilizadores, ou, caso as listas nesse formato sejam assinadas electronicamente, o certificado de chave pública utilizado para esse efeito;

o certificado de chave pública utilizado para assinar electronicamente as listas aprovadas em formato que permita o tratamento por computador;

quaisquer alterações das informações referidas nas alíneas a) a d).».

É aditado o n.o 4 seguinte:

«4. A Comissão disponibiliza a todos os Estados-Membros, através de um canal seguro para um servidor Web autenticado, as informações referidas no n.o 3, tal como notificadas pelos Estados-Membros, tanto em formato legível pelos utilizadores como em formato que permita o tratamento por computador.».

O anexo é alterado em conformidade com o anexo da presente decisão.

Artigo 2.o

Aplicação

A presente decisão é aplicável a partir de 1 de Dezembro de 2010.

Artigo 3.o

Destinatários

Os Estados-Membros são os destinatários da presente decisão.

Feito em Bruxelas, em 28 de Julho de 2010.

Pela Comissão

Michel BARNIER

Membro da Comissão

(1) JO L 376 de 27.12.2006, p. 36.

(2) JO L 274 de 20.10.2009, p. 36.

(3) JO L 13 de 19.1.2000, p. 12.

ANEXO

O anexo da Decisão n.o 2009/767/CE é alterado do seguinte modo:

O capítulo I é alterado do seguinte modo:

A primeira e segunda frases do segundo parágrafo passam a ter a seguinte redacção:

«As presentes especificações baseiam-se nas especificações e nos requisitos constantes da ETSI TS 102231 v.3.1.2. Nos casos em que as presentes especificações não apresentem nenhum requisito específico, DEVERÃO aplicar-se na íntegra os requisitos da ETSI TS 102231 v.3.1.2.».

O segundo parágrafo da secção «TSL tag (cláusula 5.2.1)» é suprimido.

A secção «TSL sequence Number (cláusula 5.3.2)» passa a ter a seguinte redacção:

«Este campo é OBRIGATÓRIO. DEVERÁ especificar o número de sequência da TSL. A começar do “1”, na primeira versão da TSL, o valor deste número inteiro DEVERÁ ser incrementado em cada versão posterior da TSL. O valor “1” NÃO DEVERÁ ser reposto quando o “TSL version identifier” acima referido for aumentado.».

O primeiro parágrafo da secção «TSL type (cláusula 5.3.3)» passa a ter a seguinte redacção:

«Este campo É OBRIGATÓRIO e especificará o tipo de TSL. DEVERÁ apontar para http://uri.etsi.org/TrstSvc/eSigDir-1999-93-EC-TrustedList/TSLType/generic (Genérico).».

O terceiro parágrafo da secção «TSL type (cláusula 5.3.3)» passa a ter a seguinte redacção:

«URI: http://uri.etsi.org/TrstSvc/eSigDir-1999-93-EC-TrustedList/TSLType/generic (Genérico).».

A segunda frase do segundo parágrafo da secção «Scheme Operator Name (cláusula 5.3.4)» passa a ter a seguinte redacção:

«Cabe a cada Estado-Membro designar o operador do Sistema de aplicação TSL da LA do Estado-Membro.».

O quarto parágrafo da secção «Scheme Operator Name (cláusula 5.3.4)» passa a ter a seguinte redacção:

«O operador do Sistema designado (cláusula 5.3.4) é a entidade que deverá assinar a TSL.».

O terceiro sub-travessão do primeiro travessão do primeiro parágrafo da secção «Scheme Name (cláusula 5.3.6)» passa a ter a seguinte redacção:

«“EN_name_value”= Supervision/Accreditation Status List of certification services from Certification Service Providers, which are supervised/accredited by the referenced Member State for compliance with the relevant provisions laid down in Directive 1999/93/EC and its implementation in the referenced Member State’s laws.».

O primeiro parágrafo da secção «Service type identifier (cláusula 5.5.1)» passa a ter a seguinte redacção:

«Este campo é OBRIGATÓRIO e DEVERÁ especificar o identificador do tipo de serviço de acordo com o tipo das presentes especificações TSL (ou seja, “/eSigDir-1999-93-EC-TrustedList/TSLtype/generic”).».

O quinto travessão do primeiro parágrafo da secção «Service current status (cláusula 5.5.4)» passa a ter a seguinte redacção:

«—

Acreditado (http://uri.etsi.org/TrstSvc/eSigDir-1999-93-EC-TrustedList/Svcstatus/accredited);».

O segundo travessão do segundo parágrafo da secção «Service current status (cláusula 5.5.4)» passa a ter a seguinte redacção:

«— Supervisão de Serviço em Cessação.: O serviço identificado em “Service digital identity” (cláusula 5.5.3) prestado pelo PSC identificado em “TSP name” (cláusula 5.4.1) encontra-se em fase de cessação mas continua sujeito a controlo até a supervisão cessar ou ser revogada. No caso de uma pessoa colectiva que não a identificada em “TSP name” ter assumido a responsabilidade de assegurar esta fase de cessação, a identificação dessa nova pessoa colectiva ou dessa pessoa colectiva de recurso (PSC de recurso) DEVERÁ ser apresentada em “Scheme service definition URI” (cláusula 5.5.6) e em “TakenOverBy” (cláusula L.3.2), na entrada de serviço.«.

O quinto parágrafo da secção «Service information extensions (cláusula 5.5.9)» passa a ter a seguinte redacção:

«Nos casos de aplicação em XML, o conteúdo específico dessa informação complementar tem de ser codificado utilizando o ficheiro xsd fornecido no anexo C da ETSI TS 102231.».

A secção «Service digital identity» (cláusula 5.6.3) passa a ter a seguinte redacção:

«Service digital identity(cláusula 5.6.3)

Este campo é OBRIGATÓRIO e DEVERÁ especificar pelo menos uma representação do identificador digital (ou seja, o certificado X.509v3) utilizado em “TSP Service Information — Service digital identity” (cláusula 5.5.3), com o formato e o significado definidos na ETSI TS 102231, cláusula 5.5.3.

Nota: Para cada valor de um certificado X.509v3 que seja utilizado no campo “Sdi” (cláusula 5.5.3) de um serviço, deve haver apenas uma única entrada de serviço numa lista aprovada por cada valor de “Sti:Sie/additionalServiceInformation”. As informações do campo “Sdi” (cláusula 5.6.3) utilizadas no histórico do estado de aprovação do Serviço associadas a uma entrada de serviço e as informações do campo “Sdi” (cláusula 5.5.3) utilizadas nesta entrada de serviço DEVEM referir-se ao mesmo valor do certificado X.509v3. Quando um serviço constante da lista altera o seu “Sdi” (ou seja, renova ou reintroduz um certificado X.509v3, por exemplo respeitante a um AC/PKC ou AC/CQ) ou cria um novo “Sdi” para um desses serviços, mesmo que os valores associados de “Sti”, “Sn” e [“Sie”] se mantenham idênticos, o operador do Sistema DEVE criar uma entrada de serviço diferente da anterior.».

A secção «Signed TSL» passa a ter a seguinte redacção:

«Signed TSL

A aplicação TSL da LA em formato legível pelos utilizadores, elaborada de acordo com as presentes especificações e, nomeadamente, com o capítulo IV, DEVE ser assinada pelo «Scheme Operator Name» (cláusula 5.3.4), para garantir a sua autenticidade e integridade (1). O formato da assinatura DEVE ser PAdES parte 3 (ETSI TS 102 778-3 (2)), mas PODE ser PAdES parte 2 (ETSI TS 102 778-2 (3)) no âmbito do modelo específico de confiança estabelecido pela publicação dos certificados utilizados para assinar as listas aprovadas.

A aplicação TSL da LA em formato que permita o tratamento por computador, elaborada segundo as presentes especificações, DEVERÁ ser assinada pelo «Scheme Operator Name» (cláusula 5.3.4), para garantir a sua autenticidade e integridade. O formato da aplicação TSL da LA para tratamento por computador, elaborada segundo as presentes especificações, DEVERÁ ser XML e DEVERÁ ser conforme com as especificações indicadas nos anexos b e C da ETSI TS 102 231.

O formato da assinatura DEVERÁ ser XAdES BES ou EPES, como definido pelas especificações da ETSI TS 101 903 para aplicações XML. Essa aplicação da assinatura electrónica DEVERÁ cumprir os requisitos definidos no anexo B da ETSI TS 102 231 (4). Os requisitos gerais adicionais relativos a esta assinatura são apresentados nas secções seguintes.

O segundo parágrafo da secção «Scheme Identification (cláusula 5.7.2)» passa a ter a seguinte redacção:

«No âmbito das presentes especificações, a referência atribuída DEVERÁ incluir o “TSL type” (cláusula 5.3.3), o “Scheme name” (cláusula 5.3.6) e o valor da extensão “SubjectKeyIdentifier” do certificado utilizado pelo operador do Sistema para assinar electronicamente a TSL.»

O segundo parágrafo da secção «Extensão additionalServiceInformation (cláusula 5.8.2)» passa a ter a seguinte redacção:

«A desreferenciação do URI DEVERÁ gerar informação legível pelos utilizadores (pelo menos em inglês e eventualmente noutra ou outras línguas nacionais) que seja considerada apropriada e suficiente para que os interessados possam compreender a extensão, em particular explicitando o significado dos URI fornecidos e especificando os valores possíveis do campo “serviceInformation” e o significado de cada um desses valores.».

A secção «Qualifications Extension (cláusula L.3.1)» passa a ter a seguinte redacção:

‘Qualifications Extension (cláusula L.3.1)

Descrição:: Este campo é FACULTATIVO mas DEVERÁ estar presente quando a sua utilização for REQUERIDA, por exemplo, para serviços de RootAC/CQ ou AC/CQ, e quando

a informação fornecida em “Service digital identity” não for suficiente para identificar inequivocamente os certificados qualificados emitidos por este serviço,

a informação presente nos certificados qualificados em questão não permitir uma identificação processável por computador dos factos sobre se o CQ é ou não suportado por um SSCD.

Quando usada, esta extensão DEVE ser utilizada apenas no campo definido em “Service Information Extension” (cláusula 5.5.9) e DEVE ser conforme com as especificações estabelecidas no anexo L.3.1 da ETSI TS 102 231.».

Após a secção «Qualifications Extension (cláusula L.3.1)», é inserida a secção «TakenOverBy Extension (cláusula L 3.2)», com a seguinte redacção:

«TakenOverBy Extension (cláusula L.3.2)

Descrição.: Esta extensão é FACULTATIVA mas DEVERÁ estar presente quando um serviço que se encontrava sob a responsabilidade legal de um PSC for tomado a cargo por outro PSC, declarando formalmente a responsabilidade legal por um serviço e permitindo que o software de verificação possa mostrar ao utilizador certos elementos de carácter legal. As informações fornecidas nesta extensão DEVEM ser coerentes com a correspondente utilização da cláusula 5.5.6 e DEVEM cumprir as especificações constantes do anexo L.3.2 da ETSI TS 102 231.».

O capítulo II passa a ter a seguinte redacção:

«CAPÍTULO II

Ao estabelecer as suas listas aprovadas, os Estados-Membros utilizarão:

Códigos de língua em minúsculas e códigos de país em maiúsculas.

Os códigos de língua e país que constam do quadro a seguir apresentado.

Quando for usado o alfabeto latino (com o código de língua apropriado), é acrescentada uma transliteração para o alfabeto latino com os respectivos códigos de língua, especificados no quadro a seguir apresentado.

Nome abreviado

(língua de origem)

Nome abreviado

(inglês)

Código de país

Código de língua

Notas

Transliteração para alfabeto latino

Belgique/België

Belgium

nl, fr, de

България (5)

Bulgaria

bg-Latn

Česká republika

Czech Republic

Danmark

Denmark

Deutschland

Germany

Eesti

Estonia

Éire/Ireland

Ireland

ga, en

Ελλάδα (5)

Greece

Código de país recomendado pela UE

el-Latn

España

Spain

também Catalão (ca), Basco (eu), Galego (gl)

France

Italia

Italy

Κύπρος/Kıbrıs (5)

Cyprus

el, tr

el-Latn

Latvija

Latvia

Lietuva

Lithuania

Luxembourg

fr, de, lb

Magyarország

Hungary

Malta

mt, en

Nederland

Netherlands

Österreich

Austria

Polska

Poland

Portugal

România

Romania

Slovenija

Slovenia

Slovensko

Slovakia

Suomi/Finland

Finland

fi, sv

Sverige

Sweden

United Kingdom

Código de país recomendado pela UE

Ísland

Iceland

Liechtenstein

Norge/Noreg

Norway

no, nb, nn

É suprimido o capítulo III.

No capítulo IV, a seguir a «O conteúdo do formulário HR de tipo PDF/A da aplicação TSL da Lista Aprovada DEVERÁ satisfazer os seguintes requisitos:», é inserido o seguinte travessão:

«—

O título das Listas Aprovadas em formato legível pelos utilizadores será construído com base na concatenação dos seguintes elementos:

—

Imagem da bandeira nacional do Estado-Membro (facultativo);

—

Espaço em branco;

—

Nome abreviado do país na(s) língua(s) de origem (tal como figura na primeira coluna do quadro do capítulo II);

—

Espaço em branco;

—

“(”;

—

Nome abreviado do país em inglês (tal como figura na segunda coluna do quadro do capítulo II), entre os parêntesis;

—

“):” para fechar o parêntesis e funcionar como separador;

—

Espaço em branco;

—

“Lista Aprovada”;

—

Logótipo do operador do sistema do Estado-Membro (facultativo).».

(1) Caso a aplicação TSL da LA em formato legível pelos utilizadores não seja assinada, a sua autenticidade e integridade DEVEM ser garantidas através de um meio de comunicação apropriado, com um nível de segurança equivalente. A utilização de TSL (IETF RFC 5246: The Transport Layer Security (TLS) Protocol Version 1.2) é recomendada para este efeito, e a impressão digital do certificado do canal TLS DEVE ser disponibilizada pelo Estado-Membro aos utilizadores TSL fora da banda.

(2) ETSI TS 102 778-3 — Electronic Signatures and Infrastructures (ESI): PDF Advanced Electronic Signature Profiles; Part 3: PAdES Enhanced — PAdES-BES and PAdES-EPES Profiles.

(3) ETSI TS 102 778-2 — Electronic Signatures and Infrastructures (ESI): PDF Advanced Electronic Signature Profiles; Part 2: PAdES Basic — Profile based on ISO 32000-1.

(4) É obrigatório proteger o certificado de assinatura do “Scheme Operator” através de assinatura numa das formas especificada na ETSI TS 101 903, devendo o ds:keyInfo incluir a cadeia relevante de certificados, quando aplicável.».

(5) Transliteração para o alfabeto latino: България = Bulgaria; Ελλάδα = Elláda; Κύπρος = Kýpros.».

Voltar ao Repositório de Regulação